Standard konektivity a bezpečnosti školy v 21. století

Není vhodné, aby zaměstnanci školy a žáci měli plná, tzv. administrátorská práva na počítači. Uživatel s administrátorskými právy může měnit nastavení operačního systému, instalovat nelegální software nebo spouštět nebezpečné soubory. Uživatel s neomezenými právy může kompromitovat počítač a ohrozit ostatní počítače v síti.

Výjimku pak může tvořit výuka v oblastech, pro něž je používání účtů s vysokými oprávněními nezbytné (např. výuka administrace OS), přičemž tato výjimka musí být podmíněna segmentací a/nebo restrikcemi vůči zbytku sítě.

Optimální cestou je centrální řízení účtů s využitím adresářových služeb, které umožňují správci sítě z jednoho místa spravovat uživatelské účty, definovat politiku hesel a nastavit práva pro přihlášení na jednotlivé počítače.

Pokud není možné využít centrální řízení účtů, je možné vytvářet jednotlivé účty na konkrétních počítačích, což je ale časově náročnější a zvyšuje se riziko kompromitace jednotlivých počítačů z důvodu sdílení uživatelských účtů nebo opomenutí nastavení bezpečnostních politik na některém z počítačů.

• Nenastavujte běžným uživatelům administrátorská práva.
• Využívejte centrální správu uživatelských účtů s využitím adresářových služeb.
• Definujte centrální politiku hesel.
• Omezte práva uživatelů pro přihlášení na jednotlivé počítače.
• Zakažte výchozí administrátorský účet v operačním systému.
• Nepřidávejte lokální účty na jednotlivé počítače, pokud to není nutné.